Hinzufügen einer Zweigstelle mit SD-WAN-Funktion

Eine On-Premises-Spoke (Zweigstelle) stellt ein Endgerät dar, das An jedem physischen Standort, z. B. in einer Zweigstelle oder an einem Verkaufspunkt, Teil der CpE-Ausrüstung (Customer Premises Equipment) ist. In der Regel werden diese Punkte über Overlay-Verbindungen zu Hub-Standorten verbunden. Sie können einen Zweigstellenstandort über die Seite Standortverwaltung hinzufügen.

Die folgenden Gerätevorlagen werden für Zweigstellenstandorte unterstützt:

NFX150 als SD-WAN CPE
NFX250 als SD-WAN CPE
Duale NFX250 als SD-WAN-CPEs
SRX als SD-WAN CPE
Dual-SRX als SD-WAN-CPEs
SRX4x00 als SD-WAN CPE
Duale SRX4x00 als SD-WAN-CPEs

Ab CSO-Version 5.4.0 können die Erstellungs- und Standortaktivierungs-Workflows optional voneinander getrennt werden, was mehr Flexibilität für die Installation von Customer Premises Equipment (CPE) vor Ort bietet.

In SD-WAN-Bereitstellungen, die cpE-Geräte (Single- oder Dual Customer Premises Equipment) umfassen, haben Mandantenadministratoren die Möglichkeit, die Seriennummer der CPE-Geräte einzugeben, nachdem sie die Zweigstellenstandorte hinzugefügt haben. Der Zweigstellenstandort kann von einem Mandantenadministrator hinzugefügt werden, und das dem Standort zugeordnete CPE-Gerät kann manuell von einem anderen autorisierten Benutzer aktiviert werden. Der autorisierte Benutzer muss entweder die Seriennummer und den Aktivierungscode oder nur die Seriennummer eingeben, wenn das CPE-Gerät später manuell aktiviert wird. Die Option zum Hinzufügen von Zweigstellen ohne Seriennummer eines CPE-Geräts ist für SRX- und NFX -Gerätevorlagen (NFX150 und NFX250) anwendbar.

Hinweis:

In Dual-CPE-Gerätevorlagen können Sie die Seriennummer eines CPE nicht hinzufügen und vermeiden die Eingabe der Seriennummer des anderen CPE-Geräts. Sie können beim Erstellen des Standorts entweder Seriennummern für primäre und sekundäre Geräte eingeben oder beide Seriennummern eingeben, während Sie den Standort aktivieren.

Ab Version 6.0.0 unterstützt CSO die folgenden SD-WAN-Services für einen Standort:

Sichere SD-WAN-Grundlagen – Bietet die grundlegenden SD-WAN-Services. Dieser Service ist ideal für kleine Unternehmen, die eine einfache WAN-Konnektivität mit umfassenden NGFW-Sicherheitsservices an den Zweigstellen mithilfe linkbasierter Anwendungssteuerung verwalten möchten. Der SERVICE SD-WAN Essentials ermöglicht einen lokalen Breakout des Internetverkehrs und vermeidet so die Notwendigkeit, den Webdatenverkehr über kostspielige VPN- oder MPLS-Verbindungen zu backhaulen. Die Standorte unterstützen Funktionen wie absichtsbasierte Firewall-Richtlinien, VERWALTUNG und Steuerung von WAN-Verbindungen, CSO-gesteuertes Routing zwischen Standorten, die über das statische VPN verbunden sind, und Die Kommunikation von Standort zu Standort über MPLS oder Internetverbindungen hinter NAT. Ein Mandant mit dem SD-WAN Essentials-Servicelevel kann nur SD-WAN Essentials-Standorte erstellen.

Hinweis:
Sie können eine Secure SD-WAN Essentials-Site auf eine Secure SD-WAN Advanced-Site aktualisieren, indem Sie die Standortinformationen bearbeiten (zulässig, wenn der SD-WAN-Servicelevel des Mandanten auf Advanced aktualisiert wird).
Secure SD-WAN Advanced – Bietet den vollständigen SD-WAN-Service. Dieser Service ist ideal für Unternehmen mit einem oder mehreren Datencentern, die flexible Topologien und dynamische Anwendungssteuerung benötigen. Die Site-to-Site-Konnektivität kann durch die Verwendung eines Hubs in einer Hub-and-Spoke-Topologie oder durch statische oder dynamische Full-Mesh-VPN-Tunnel hergestellt werden. Unternehmensweite SD-WAN-Richtlinien und SLA-Messungen (Service Level Agreement) ermöglichen es CSO, den Datenverkehr für verschiedene Anwendungen zu differenzieren und dynamisch zu leiten.
- SD-WAN-Sites auf CSO Version 5.4.0 oder früheren Versionen werden als SD-WAN Advanced-Standorte behandelt. Sie können das SD-WAN-Servicelevel eines Mandanten nicht von "SD-WAN Advanced" auf "SD-WAN Essentials" herunterstufen.

Ab CSO-Version 6.0.0 wird der Workflow zur Erstellung von Zweigstellen vereinfacht, indem die Bereitstellung von Services während des Onboarding-Prozesses optional wird. Sie können den Dienst während der Websiteerstellung konfigurieren oder den Dienst zu einem späteren Zeitpunkt hinzufügen. Informationen zum Hinzufügen eines Zweigstellenstandorts ohne SD-WAN-Service finden Sie unter Hinzufügen von Zweigstellen- oder Enterprise Hub-Standorten ohne Bereitstellung eines Service

So fügen Sie einen Zweigstellenstandort mit nur SD-WAN-Funktionen hinzu:

Wählen Sie Ressourcen > Standortverwaltung aus.

Die Seite Websites wird angezeigt.
Klicken Sie auf Hinzufügen und wählen Sie Zweigstelle (Manuell) aus.

Die Seite Zweigstellenstandort hinzufügen wird angezeigt.
Vervollständigen Sie die Konfigurationseinstellungen gemäß den In Tabelle 1 bereitgestellten Richtlinien.

Hinweis:
Mit einem Sternchen (*) gekennzeichnete Felder sind Pflichtfelder.
(Optional) Sie können die Konfiguration auf der Registerkarte Zusammenfassung überprüfen und bei Bedarf die Einstellungen ändern.
Klicken Sie auf OK.
- Wenn Sie bei der Aktivierung eine Seriennummer eingegeben haben und die automatische Aktivierung aktiviert ist, wird die Seite Status der Site-Aktivierung angezeigt. Der Standortaktivierungsprozess verläuft über die unter Fehlerbehebung bei der Standortaktivierung beschriebenen Aufgaben.
  
  Klicken Sie auf OK , um die Seite "Status der Siteaktivierung" zu schließen.
- Wenn Sie keine Seriennummer eingegeben haben und die automatische Aktivierung deaktiviert ist, werden Sie auf die Seite Standortverwaltung zurückgeschickt. CSO löst einen Job aus und zeigt eine Bestätigungsmeldung mit einem Job-Link an. Klicken Sie auf den Link, um den Status des Auftrags anzuzeigen. Nach Abschluss des Auftrags zeigt CSO eine Bestätigungsmeldung mit einem Job-Link an. Der Status der Website ändert sich zu CREATED.
  
  Sie müssen das Gerät manuell aktivieren, um den Aktivierungsprozess abzuschließen.
Hinweis:
Die folgende Prozedur ist anwendbar, wenn die Zero-Touch-Bereitstellung (ZTP) in der Gerätevorlage true festgelegt ist. Wenn ZTP in der Gerätevorlage deaktiviert ist, müssen Sie die Phase-1-Konfiguration kopieren und auf dem Gerät festlegen, damit CSO mit der Aktivierung fortfahren kann.

So aktivieren Sie das CPE-Gerät (Zweigstelle) manuell:
1. Wählen Sie das zu aktivierenden CPE für Zweigstellen aus.
2. Klicken Sie auf dem Link Standortverwaltung aktivieren.
  
  Die Seite Website aktivieren wird angezeigt.
3. Geben Sie die Seriennummer(n) des Geräts und den Aktivierungscode ein. Klicken Sie auf OK.
  
  Die Seite "Status der Siteaktivierung " wird angezeigt und zeigt den Fortschritt der Schritte an, die zur Aktivierung des CPE-Geräts ausgeführt werden. Bei der erfolgreichen Aktivierung des Geräts ändert sich der Standortstatus von Erstellt zu Bereitgestellt.
Wenn Sie das Feld Vollständig automatisierte Bereitstellung aktiviert haben, wendet CSO die Phase-1-Konfiguration automatisch an.

Hinweis:
Das Gerät wird automatisch aktiviert, wenn Sie den Aktivierungscode und die Geräteseriennummer bereits beim Erstellen des Firewall-Standorts angegeben haben.

Wenn Sie das Feld Vollständig automatisierte Bereitstellung für das Gerät deaktiviert haben, müssen Sie die Phase-1-Konfiguration auf dem Gerät manuell konfigurieren.
1. Klicken Sie auf den Link "Click to copy stage-1 config" neben der Aufgabe "Prestage Device" auf der Seite "Siteaktivierungsfortschritt". Wenn Sie die Seite "Siteaktivierungsfortschritt" versehentlich schließen, können Sie über die Seite Standortverwaltung auf die Seite zugreifen. Klicken Sie neben dem Status der Website in der Spalte Standortstatus auf den Link Ansicht.
  
  Hinweis:
  Sie können die Konfiguration auch über die Seite "Geräte" (Ressourcen > Geräte) kopieren. Wählen Sie das Gerät aus und klicken Sie auf Stage1 Config.
  
  Die Seite Phase-1-Konfiguration wird angezeigt und zeigt die Phase-1-Konfiguration an.
2. Kopieren Sie die Phase-1-Konfiguration.
3. Melden Sie sich bei dem Gerät an, und geben Sie den Junos OS-Konfigurationsmodus ein.
4. Fügen Sie die kopierte Konfiguration ein und bestätigen Sie die Konfiguration.
  
  CSO wendet das Pre-Script und die Phase-1-Konfiguration an (einschließlich der Gerätekonfiguration). Der Status der Website ändert sich auf der Seite Standorte in VERWALTET .
Wenn Sie SD-WAN-Services ausgewählt haben, während Sie das Gerät hinzufügen, generiert CSO die Servicebereitstellungskonfiguration und wendet sie auf dem Gerät an. Der Standortstatus ändert sich auf der Seite Standortverwaltung in "PROVISIONED ".

Wenn Sie beim Hinzufügen des Geräts keine SD-WAN-Services ausgewählt haben, bleibt das Gerät im Managed-Zustand , bis Sie den Service anwenden. Sie können die Website bearbeiten und den Service hinzufügen. Nachdem Sie den Dienst hinzugefügt haben, wendet CSO die Dienstbereitstellungskonfiguration an und das Gerät wird bereitgestellt.

Tabelle 1: Felder auf der Seite "Mandantenname hinzufügen" mit nur SD-WAN-Funktion
Feld	Beschreibung
Allgemeine
Standortinformationen
Name des Standorts	Geben Sie einen eindeutigen Namen für die Website ein. Sie können alphanumerische Zeichen und Bindestriche (-); die maximale Länge beträgt 32 Zeichen.
Geräte-Host-Name	Der Host-Name des Geräts wird automatisch generiert und verwendet das Format `tenant-name.host-name`. Sie können den `tenant-name` Teil des Geräte-Hostnamens nicht ändern. Verwenden Sie alphanumerische Zeichen und Bindestriche (-); die maximal zulässige Länge beträgt 32 Zeichen.
Standortgruppe	Wählen Sie eine Standortgruppe aus, der Sie den Standort zuweisen möchten.
Standortfunktionen	Hinweis: Das standardmäßige Gerätemanagement ermöglicht es Ihnen, einen Standort mit nur Geräteverwaltungsfunktionen (ohne Services) zu erstellen und später Services hinzuzufügen. Um eine SD-WAN-Funktion für diese Website hinzuzufügen, wählen Sie einen der folgenden SD-WAN-Servicetypen aus: Secure SD-WAN Essentials –(Verfügbar für Mandanten mit SD-WAN Essentials oder Advanced Service Level) Bietet grundlegende SD-WAN-Services. Die Standorte unterstützen Funktionen wie absichtsbasierte Firewall-Richtlinien, VERWALTUNG und Steuerung von WAN-Verbindungen, CSO-gesteuertes Routing zwischen Standorten, die über statische VPN verbunden sind, und Standort-zu-Standort-Kommunikation über MPLS-basierte oder internetbasierte Verbindungen. Der SD-WAN Essentials-Service unterstützt keine Multihoming-, dynamische Mesh-Tunnel, Cloud-Breakout-Profile, SLA-basierte Steering-Profile, Pool-basierte Quell-NAT-Regeln, IPv6, MAP-E oder Underlay-BGP. Secure SD-WAN Advanced – (Verfügbar für Mandanten mit SD-WAN Advanced Servicelevel) Bietet vollständige SD-WAN-Services. Dieses Servicelevel ist ideal für Unternehmen mit einem oder mehreren Datencentern, die flexible Topologien und dynamische Anwendungssteuerung benötigen. Die Site-to-Site-Konnektivität kann durch die Verwendung eines Hubs in einer Hub-and-Spoke-Topologie oder durch statische oder dynamische Full-Mesh-VPN-Tunnel hergestellt werden. Unternehmensweite SD-WAN-Richtlinien und SLA-Messungen (Service Level Agreement) ermöglichen es, den Datenverkehr für verschiedene Anwendungen zu differenzieren und dynamisch zu leiten.
Anschrift und Kontaktinformationen
Adresse	Geben Sie die Adresse der Website ein.
Stadt	Geben Sie die Stadt ein, in der sich der Standort befindet.
Bundesland/Provinz	Wählen Sie den Bundesstaat oder die Provinz aus, in der sich der Standort befindet.
PLZ	Geben Sie die Postleitzahl für die Website ein.
Land	Wählen Sie das Land aus, in dem sich der Standort befindet. Klicken Sie auf die Schaltfläche Validieren , um die Adresse zu überprüfen. Die `site address verification successful` Nachricht wird angezeigt, wenn die Adresse überprüft wurde. Sie können auf den Link "Standort auf einer Karte anzeigen " klicken, um den Adressstandort anzuzeigen. Wenn die Adresse nicht überprüft werden kann, wird die `Site address could not be validated` Meldung angezeigt.
Name des Kontakts	Geben Sie den Namen des Ansprechpartners für die Website ein.
E-Mail	Geben Sie die E-Mail-Adresse des Ansprechpartners für den Standort ein.
Telefon	Geben Sie die Telefonnummer des Ansprechpartners für den Standort ein.
Erweiterte Konfiguration
Domain Name Server	Geben Sie eine oder mehrere IPv4- oder IPv6-Adressen oder sowohl IPv4- als auch IPv6-Adressen des DNS-Servers an. Um mehr als eine DNS-Serveradresse anzugeben, geben Sie die Adresse ein, drücken Sie die Eingabetaste, geben Sie dann die nächste Adresse ein usw. DNS-Server werden verwendet, um Hostnamen in IP-Adressen aufzulösen.
NTP-Server	Geben Sie die vollqualifizierten Domänennamen (FQDNs) oder DIE IP-Adressen eines oder mehrerer NTP-Server an. Beispiel: ntp.example.net Der Standort muss über DNS-Erreichbarkeit verfügen, um den FQDN während der Standortkonfiguration aufzulösen.
Zeitzone auswählen	Wählen Sie die Zeitzone des Standorts aus.
Gerät Hinweis: Einige Felder in diesem Abschnitt werden nur angezeigt, wenn Sie die Option Geräteredundanz aktivieren.
Geräteredundanz	Standardmäßig deaktiviert. Aktivieren Sie diese Option für Dual-CPEs. Für die Ermöglichung von Geräteredundanz sind folgende Voraussetzungen erforderlich: Stellen Sie sicher, dass die Steuerungs- und Fabric-Ports zwischen beiden Knoten verbunden sind. Stellen Sie sicher, dass das Gerät für die Managementkonnektivität vorkonfiguriert ist (werksseitig oder vorkonfiguriert). Konfigurieren Sie die Steuerungs-, Fabric- und Datenports (reth) nicht, da diese Ports neu konfiguriert werden. Informationen zur Identifizierung der Steuerungs-, Fabric-, Verwaltungs- und Datenports für jedes SRX-Modell finden Sie im TOOL SRX Hochverfügbarkeitskonfigurator . Hinweis: Generieren Sie die Konfiguration nicht im Tool, wenn CSO sie generiert, und wendet die Clusterkonfiguration automatisch an. Wenn Sie ZTP auf SRX300- und SRX320-Geräten verwenden, verwenden Sie ge-0/0/7 als vordefinierten DHCP-Port anstelle von ge-0/0/0. Geben Sie die Fabric- und Daten-Portinformationen (reth) in der Gerätevorlage ein. Die Control- und fxp0-Ports sind vordefiniert. Um den Steuerungsport zu ändern, ändern Sie ihn in der Plattformgerätevorlage. Um den Daten-Port (reth) zu ändern, ändern Sie ihn in der SDWAN-Gerätevorlage.
Geräteserie	Wählen Sie die Geräteserie aus, zu der das CPE gehört – SRX, NFX150 oder NFX250. Basierend auf der von Ihnen ausgewählten Geräteserie werden die unterstützten Gerätevorlagen (mit Informationen zur Konfiguration von Geräten) aufgelistet. Wählen Sie eine Gerätevorlage für die ausgewählte Geräteserie aus.
Gerätemodell	Wählen Sie die Gerätemodellnummer aus.
Geräte-Root-Passwort	Das Standard-Root-Kennwort wird aus dem Feld ENC_ROOT_PASSWORD in der Gerätevorlage abgerufen. Sie können das Kennwort behalten oder ändern, indem Sie ein Kennwort im Klartextformat eingeben. Das Passwort wird verschlüsselt und auf dem Gerät gespeichert.
Vollständig automatisierte Bereitstellung	Klicken Sie auf die Umschalttaste, um zero Touch Provisioning (ZTP) zu aktivieren oder zu deaktivieren. Diese Option ist standardmäßig aktiviert. Hinweis: Standardmäßig ist diese Schaltfläche für die virtuelle Firewall vSRX deaktiviert. Sie können diese Schaltfläche aktivieren, wenn die Junos OS-Version, die auf der virtuellen Firewall vSRX ausgeführt wird, den Phone-Home-Client unterstützt. Stellen Sie für die Verwendung von ZTP Folgendes sicher: Das Gerät muss eine Verbindung zu CSO und Juniper Phone-Home-Server (https://redirect.juniper.net) haben Verwenden Sie Telnet, um die Konnektivität zu überprüfen: `telnet redirect.juniper.net:443` `telnet CSO Hostname/IP:443` Wenn die Verbindung hergestellt ist, hat das Gerät eine Verbindung zum Phone-Home-Server und CSO. Die erforderlichen Zertifikate für Phone-Home-Server und CSO müssen auf dem Gerät vorhanden sein. Wenn ZTP aktiviert ist, wird das Feld Boot Image angezeigt, und Sie müssen ein Bild auswählen, das den Phone-Home-Client unterstützt. Während der ZTP wird das Image auf dem Firewall-Gerät auf das Image aktualisiert, das Sie für das Boot-Image auswählen. Wenn Sie ZTP deaktivieren, stellen Sie sicher, dass das Gerät über eine Verbindung mit CSO verfügt. Wenn das Gerät nicht vorkonfiguriert/staged/vorkonfiguriert ist, müssen Sie die Details im Abschnitt Managementkonnektivität angeben, damit CSO die Konfiguration als Teil der Phase-1-Konfiguration generieren kann. Sie können den Abschnitt Managementkonnektivität überspringen, wenn das Gerät über eine Verbindung zu CSO verfügt. Wenn Sie ZTP deaktivieren, müssen Sie die Phase-1-Konfiguration von CSO kopieren und auf dem Gerät festlegen, um den Onboarding-Prozess zu starten. Verwenden Sie eine der folgenden Optionen, um die Phase-1-Konfiguration zu kopieren: Klicken Sie auf den Link "Click to copy stage-1 config" neben "Prestage Device task" auf der Seite "Site Activation Progress". Wenn Sie die Seite "Siteaktivierungsfortschritt" versehentlich schließen, können Sie über die Seite Standortverwaltung auf die Seite zugreifen. Klicken Sie neben dem Status der Website in der Spalte Standortstatus auf den Link Ansicht . Wählen Sie auf der Seite Geräte (Ressourcen > Geräte) das Gerät aus, und klicken Sie auf Stage1 Config.
Seriennummer	Geben Sie für ein einzelnes CPE-Gerät die Seriennummer des CPE-Geräts ein. Die Seriennummern unterscheiden die Groß- und Kleinschreibung. Wenn Sie die Seriennummer nicht eingeben, wird die Zweigstelle erstellt, aber das cpE-Gerät, das der Site zugeordnet ist, wird nicht aktiviert. Weitere Informationen finden Sie in Schritt 5 .
Seriennummer des Knotens 0	Geben Sie bei einem Dual-CPE-Gerät die Seriennummer des primären CPE-Geräts ein. Bei der Seriennummer wird die Groß- und Kleinschreibung berücksichtigt. Wenn Sie keine Seriennummer eingeben, wird die Zweigstelle erstellt, das CPE-Gerät jedoch nicht aktiviert. Weitere Informationen finden Sie in Schritt 5 .
Seriennummer des Knotens 1	Geben Sie für ein Dual-CPE-Gerät die Seriennummer des sekundären CPE-Geräts ein. Bei der Seriennummer wird die Groß- und Kleinschreibung berücksichtigt. Wenn Sie keine Seriennummer eingeben, wird die Zweigstelle erstellt, das CPE-Gerät jedoch nicht aktiviert. Weitere Informationen finden Sie in Schritt 5 .
Gibt es bereits Cluster?	Hinweis: Dieses Feld ist nur für SRX-Dual-CPE-Geräte verfügbar. Klicken Sie auf die Umschalttaste, um anzugeben, ob der SRX-Cluster manuell gebildet wurde (Ja) oder nicht (Nein).
Cluster-ID	Hinweis: Dieses Feld ist nur für SRX-Dual-CPE-Geräte verfügbar. Wenn der SRX-Cluster nicht manuell gebildet wurde, geben Sie eine eindeutige ID für den Cluster an. Bereich: 1 bis 15 Wenn Sie ZTP für den Standort aktiviert haben, wird der Cluster automatisch gebildet, wenn der Standort aktiviert wird. Wenn Sie ZTP deaktiviert haben, werden die folgenden Prozesse auf der Seite Fortschritt der Standortaktivierung angezeigt (die nach dem Hinzufügen der Zweigstelle angezeigt wird): Klicken Sie nach dem CSO-Modell der Website (d. h. nach erfolgreichem Abschluss des Modellsite-Prozesses) auf den Link Zum Kopieren von Vorskripten klicken, der neben dem Pre Script-Prozess angezeigt wird. Führen Sie die Befehle wie angewiesen aus. Nachdem der Pre Script-Prozess erfolgreich abgeschlossen wurde, wird der SRX-Cluster gebildet und die Datei recovery.conf wird auf dem Cluster gespeichert. Wenn Sie die Site später löschen möchten, benötigen Sie diese Datei, um die Phase-1-Konfiguration und andere Konfigurationen zu entfernen, die von CSO an das Gerät übertragen werden. Konfigurieren Sie die Phase-1-Konfiguration auf dem primären Gerät im Cluster manuell. Siehe Schritt 6. Nachdem der Cluster erkannt wurde, führt CSO die Bootstrap- und Bereitstellungsprozesse aus und schließt die Bereitstellung des Clusters ab.
Automatische Aktivierung	Klicken Sie auf die Umschalttaste, um die automatische Aktivierung des CPE-Geräts zu aktivieren oder zu deaktivieren. Wenn Sie die automatische Aktivierung deaktivieren, lesen Sie das Thema Geräte aktivieren , um das CPE manuell zu aktivieren.
Aktivierungscode	Wenn die automatische Aktivierung des Geräts deaktiviert ist, geben Sie den Aktivierungscode ein, um das Gerät manuell zu aktivieren. Der Aktivierungscode wird vom Administrator bereitgestellt, der die Website hinzufügt.
Aktivierungscode für Node 0	Wenn die automatische Aktivierung von Dual-CPEs deaktiviert ist, geben Sie den Aktivierungscode ein, um das primäre CPE-Gerät manuell zu aktivieren.
Aktivierungscode für Node 1	Wenn die automatische Aktivierung von Dual-CPEs deaktiviert ist, geben Sie den Aktivierungscode ein, um das sekundäre CPE-Gerät manuell zu aktivieren.
Boot-Bild	Wählen Sie das Boot-Image aus der Dropdown-Liste aus, wenn Sie das Image für das CPE-Gerät aktualisieren möchten. Das Boot-Image ist das neueste Build-Image, das in das Image-Management-System hochgeladen wurde. Das Boot-Image wird verwendet, um das Gerät zu aktualisieren, wenn CSO den ZTP-Prozess startet. Wenn das Boot-Image nicht angegeben wird, überspringt das Gerät die Prozedur, um das Geräteimage zu aktualisieren. Das Boot-Image (NFX oder SRX) wird basierend auf der Gerätevorlage aufgefüllt, die Sie beim Erstellen eines Standorts ausgewählt haben. Weitere Informationen finden Sie unter Hochladen eines Gerätebildes.
(Gerätevorlage)	Wählen Sie eine Gerätevorlage aus, die Informationen zur Konfiguration eines Geräts enthält.
Managementkonnektivität Hinweis: Dieser Abschnitt wird nur angezeigt, wenn die vollständig automatisierte Bereitstellung deaktiviert ist. Wenn Sie einen Chassis-Cluster hinzufügen, müssen Sie die Schnittstellendetails für beide Knoten angeben.
Adressfamilie	Wählen Sie IPv4 oder IPv6 aus.
Schnittstellenname	Dies ist die WAN-Schnittstelle, die das Gerät verwendet, um eine Verbindung zu CSO herzustellen.
Zugriffstyp	Wählen Sie den Zugriffstyp für den Underlay-Link aus. Die Zugriffstypen LTE, ADSL und VDSL werden nur auf Internetverbindungen unterstützt.
Adresszuweisung	DHCP ist standardmäßig ausgewählt. Wenn Sie eine statische IP-Adresse angeben möchten, wählen Sie STATISCH aus.
Management-VLAN-ID	Geben Sie eine VLAN-ID für den WAN-Link ein. Bereich: 0 bis 4094
Pppoe	Klicken Sie auf die Umschalttaste, um die authentifizierte Adresszuweisung für den WAN-Link mithilfe von PPPoE (Point-to-Point Protocol over Ethernet) zu aktivieren.
ADSL/VDSL SFP-Annex	Gilt nur für MPLS oder Internet-Links mit ADSL- oder VDSL-Zugriffstypen. Klicken Sie auf die Umschalttaste, um die Annex J-Unterstützung über ein xDSL-SFP-Modul zu aktivieren. Anhang J ist in den ITU-T-Empfehlungen G.992.3 und G.992.5 spezifiziert. Wenn Sie diese Option deaktiviert lassen, müssen Sie für die Konnektivität ein Mini-PIM-Modul verwenden.
Hub-Konfiguration Hinweis: Die Hub-Auswahl ist sowohl für SD-WAN Advanced als auch für Essentials-Standorte optional. Sd-WAN Essentials-Websites unterstützen Kein Multihoming. Sie können jedoch eine Essentials-Site bearbeiten (nach der Aktivierung), um sie auf einen erweiterten Standort zu aktualisieren, und bei Bedarf einen sekundären Hub hinzufügen, sofern der Servicelevel des Mandanten auf Advanced aktualisiert wird. Sie können eine Secure SD-WAN Advanced Zweigstelle nur mit Secure SD-WAN Advanced Enterprise Hubs verbinden.
Primärer Provider-Hub	Wählen Sie den primären Hub-Standort aus, mit dem dieser Zweigstellenstandort eine Verbindung herstellen muss.
Sekundärer Provider-Hub	Hinweis: Nicht anwendbar auf Standorte mit dem Secure SD-WAN Essentials Service. Wählen Sie den sekundären Hub-Standort aus, mit dem dieser Standort eine Verbindung herstellen muss. Dieser Standort verbindet sich mit dem sekundären Datenhub-Standort, wenn der primäre Daten-Hub nicht erreichbar ist.
Primärer Enterprise Hub	Wählen Sie den Enterprise Hub aus, mit dem Sie den Zweigstellenstandort verbinden möchten. Wenn Sie einen Enterprise Hub angeben, wird der anfängliche Site-to-Site-Datenverkehr sowie der zentrale Breakout-Datenverkehr (falls zutreffend) durch den Enterprise Hub anstelle des Hub-Standorts gesendet.
Secondary Enterprise Hub	Hinweis: Nicht anwendbar auf Standorte mit dem Secure SD-WAN Essentials Service. Wählen Sie den sekundären Enterprise Hub für diesen Zweigstellenstandort aus. Der Zweigstellenstandort verbindet sich mit dem sekundären Enterprise Hub, wenn der primäre Enterprise Hub nicht erreichbar ist.
Verwenden von Mesh-Tags zur Verbindung von EHub	Diese Umschalttaste ist standardmäßig aktiviert. Wenn diese Schaltfläche aktiviert ist, verwendet CSO Mesh-Tags, um automatisch den Overlay-Tunnel zwischen dem Standort und den Enterprise-Hubs zu bilden. Deaktivieren Sie diese Umschalttaste, wenn Sie einen statischen Tunnel (pro WAN-Verbindung) manuell zwischen der Zweigstelle und den Enterprise Hubs erstellen möchten. Wenn Sie diese Option deaktivieren, müssen Sie mindestens einen WAN-Link manuell aktivieren, um eine Verbindung mit dem Enterprise Hub herzustellen, indem Sie die Umschalttaste "Connect to Enterprise Hubs" in den erweiterten Einstellungen des WAN-Links verwenden.
WAN-Verbindungen Hinweis: In Version 6.1.0 verschiebt CSO einen Standort in den ZUSTAND "PROVISIONED", wenn mindestens einer der WAN-Links die IP-Adresse erhält und aktiviert wird. Sie können die verbleibenden DHCP-WAN-Verbindungen später aktivieren. Wenn die bereitgestellte Site dynamische VPN-Tunnel (DVPN) zu anderen Standorten einführt, bevor die DHCP-WAN-Verbindungen aktiviert werden, nehmen diese DHCP-WAN-Links nur an DVPN teil, wenn die Tunnel gelöscht und wieder hinzugefügt werden (d. h. der Datenverkehr zwischen zwei Standorten fällt unter den Löschschwellenwert und überschreitet dann den Schwellenwert für die Erstellung erneut).
WAN_0 `WAN-Interface-Name`	Dieses Feld ist standardmäßig aktiviert. Geben Sie Parameter für WAN_0 ein. Felder, die mit einem Sternchen (*) gekennzeichnet sind, müssen konfiguriert werden, um fortzufahren.
Verbindungstyp	Wählen Sie aus, ob es sich um einen MPLS-Link oder einen Internet-Link handelt.
Zugriffstyp	Wählen Sie den Zugriffstyp für den Underlay-Link aus. Hinweis: Sie können den LTE-Zugriffstyp nur für einen WAN-Link auswählen. Sie können den ADSL- oder VDSL-Zugriffstyp nur für zwei WAN-Verbindungen auswählen. Sie können folgendes nicht konfigurieren: LTE als Zugriffstyp, wenn Sie duale SRX- oder Dual-NFX-Gerätevorlagen verwenden. ADSL oder VDSL als Zugriffstyp, wenn Sie duale SRX- oder Einzel- oder Dual-NFX-Gerätevorlagen verwenden. Ethernet wird als Zugriffstyp für die Underlay-Verbindung konfiguriert. DAS SRX300 unterstützt keine LTE- und ADSL-Zugriffstypen. Auf Services Gateways der SRX300-Serie (außer SRX300-Geräten) und NFX150-Geräten wird die LTE-WAN-Verbindung über eine SIM-Karte unterstützt, die in den SIM-Steckplatz des Mini-Physical Interface Module (Mini-PIM) eingesteckt wird. Auf NFX250-Geräten wird die LTE-WAN-Verbindung über einen USB-Dongle (Vodafone K5160-Dongle) unterstützt, der an den USB-Port des CPE-Geräts angeschlossen ist. CSO unterstützt die folgende Kombination von MPLS-Tunneln (mit ADSL- oder VDSL-Zugriffstypen) für ein Zweigstellengerät: Von der Zweigstelle (mit einem ADSL- oder VDSL-Zugriffstyp) zu einem Enterprise Hub, Provider Hub oder einer Zweigstelle (mit Ethernet-Verbindung). Von der Zweigstelle (mit einem ADSL- oder VDSL-Zugriffstyp) zu einem anderen Zweigstellenstandort (mit einem ADSL- oder VDSL-Link).
PPPoE/PPP	Klicken Sie auf die Umschalttaste, um die authentifizierte Adresszuweisung für den WAN-Link mithilfe von PPPoE (Point-to-Point Protocol over Ethernet) oder PPP (Point-to-Point Protocol) zu aktivieren. Standardmäßig ist diese Umschalttaste deaktiviert. PPPoE funktioniert mit Ethernet-, ADSL- und VDSL-Zugriffstypen, während PPP mit dem LTE-Zugriffstyp funktioniert. Hinweis: Diese Umschalttaste ist für Internetverbindungen mit LTE als Zugriffstyp nicht verfügbar. Sie können PPPoE oder PPP pro WAN-Link aktivieren. Wenn Sie diese Umschalttaste aktiviert haben, müssen Sie die PPPoE- oder PPP-Parameter (Benutzername, Kennwort und Authentifizierungsprotokoll) für den PPPoE- bzw. PPP-Server angeben. Der PPPoE- oder PPP-Server weist dem WAN-Link nach erfolgreicher Authentifizierung eine IP-Adresse zu. Weitere Informationen finden Sie im Abschnitt PPPoE/PPP-Einstellungen in dieser Tabelle. Sie können PPPoE oder PPP auf MPLS-basierten oder internetbasierten WAN-Verbindungen aktivieren. Wenn Sie diese Umschaltschaltfläche deaktiviert haben, wählen Sie eine Methode (DHCP oder STATISCH) aus, um dem WAN-Link aus der Liste Adresszuweisung eine IP-Adresse zuzuweisen.
ADSL/VDSL SFP-Annex	Gilt nur für MPLS oder Internet-Links mit ADSL- oder VDSL-Zugriffstypen. Klicken Sie auf die Umschalttaste, um die Annex J-Unterstützung über ein xDSL-SFP-Modul zu aktivieren. Anhang J ist in den ITU-T-Empfehlungen G.992.3 und G.992.5 festgelegt. Wenn Sie diese Option deaktiviert lassen, müssen Sie für die Konnektivität ein Mini-PIM-Modul verwenden. Sie können diese Option nur bei neuen WAN-Links aktivieren oder deaktivieren, die einer Website hinzugefügt werden. Sie können diese Option für die vorhandenen WAN-Links nicht aktivieren oder deaktivieren, indem Sie den Site-Bearbeitungsworkflow verwenden. Sie können diese Option zusammen mit anderen Parametern wie PPoE, statische IP-Adresse (IPv4/IPv6), DHCP und VLAN-ID aktivieren.
Access Point Name (APN)	Der Access Point Name (APN) bestimmt das Packet Data Network Gateway (P-GW), das das CPE-Gerät verwenden muss, um eine Verbindung mit dem Packet Data Network (PDN) wie Internet herzustellen. Alle CPE-Geräte werden mit Standard-APN-Einstellungen ausgeliefert. Wenn Sie sich jedoch dafür entscheiden, einen privaten APN mit dem aktuellen LTE-Service Provider oder einem anderen LTE-Service Provider zu verwenden, geben Sie den APN für das CPE-Gerät (wie vom Service Provider angegeben) in diesem Feld ein. Dieses Feld wird nur angezeigt, wenn Sie PPPoE/PPP für MPLS-Verbindungen mit LTE als Zugriffstyp aktiviert haben. Wenn Sie PPPoE/PPP für diese Links deaktiviert haben, verwendet CSO die Standard-APN-Einstellungen.
Ausgangsbandbreite	Geben Sie die maximale Bandbreite in Mbit/s für den WAN-Link ein. Reichweite: 1 bis 10.000. Hinweis: Diese Option ist für Internet- und MPLS-Verbindungen mit LTE-Zugriffstyp nicht verfügbar.
Underlay-Adressfamilien
IPv4	Klicken Sie auf die Umschalttaste, um die IPv4-Adresszuweisung für den WAN-Link zu aktivieren oder zu deaktivieren. Standardmäßig ist die IPv4-Adresszuweisung für den WAN-Link aktiviert. Der WAN-Link erfordert eine IPv4-Adresse, um eine Verbindung zu einem IPv4-Netzwerk herzustellen.
Methode zur Adresszuweisung	Wählen Sie die Methode aus, um dem WAN-Link eine IPv4-Adresse zuzuweisen – DHCP (Dynamic Host Configuration Protocol) oder STATISCH. Dieses Feld wird nur angezeigt, wenn Sie die PPPoE/PPP-Umschaltschaltfläche deaktiviert haben. Wenn Sie STATISCH auswählen, müssen Sie das IPv4-Adresspräfix und die Gateway-IPv4-Adresse für den WAN-Link angeben. Hinweis: Bei Internet- und MPLS-Links mit LTE-Zugriffstyp können Sie nur DHCP für die Adresszuweisung auswählen.
Statische IP-Präfixe	Wenn Sie die Adresszuweisungsmethode als STATISCH konfiguriert haben, geben Sie das IPv4-Adresspräfix des WAN-Links ein.
Gateway-IP-Adresse	Wenn Sie die Adresszuweisungsmethode als STATISCH konfiguriert haben, geben Sie die IPv4-Adresse des Gateways des WAN-Service Providers ein.
MTU	Gilt nur für IPv4-Adressen. Geben Sie die maximale MTU-Größe (Transmission Unit) für das Medium oder das Protokoll ein. Der unterstützte MTU-Bereich kann je nach Gerät, Schnittstellentyp, Netzwerktopologie und anderen individuellen Anforderungen variieren. Siehe auch: MTU-Standard- und Maximalwerte sowie LTE Mini Physical Interface Module (LTE Mini-PIM). Die gleichzeitige Bearbeitung der MTU-Werte aller OAM-fähigen WAN-Verbindungen eines Standorts kann zu Tunnel-Flapping führen. Sie müssen sicherstellen, dass mindestens ein OAM-fähiger WAN-Link für einen Standort immer unterbrechungsfrei bleibt. Wenn Sie beispielsweise einen Standort mit vier WAN-Verbindungen haben (einschließlich zwei Links, die OAM-Datenverkehr unterstützen), können Sie die MTU-Werte aller WAN-Verbindungen außer einem OAM-aktivierten Link gleichzeitig bearbeiten. Nachdem die Bearbeitung abgeschlossen und die Änderungen gespeichert wurden, können Sie die Website erneut bearbeiten und den verbleibenden WAN-Link aktualisieren. Hinweis: Die Bearbeitung des MTU-Wertes eines WAN-Links kann sich auf den Datenverkehr auf diesen Link auswirken. Wenn Sie die PPPoE/PPP-Option unter einem WAN-Link aktivieren, wird die MTU-Option im Abschnitt PPPoE/PPP-Einstellungen für diesen Link angezeigt.
IPv6	Klicken Sie auf die Umschalttaste, um die IPv6-Adresszuweisung für den WAN-Link zu aktivieren oder zu deaktivieren. Standardmäßig ist die IPv6-Adresszuweisung für den WAN-Link deaktiviert. Der WAN-Link erfordert eine IPv6-Adresse, um eine Verbindung zu einem IPv6-Netzwerk herzustellen. Hinweis: Die IPv6-Adresszuweisung wird nur für Standorte mit Secure SD-WAN Advanced Service unterstützt. Die IPv6-Adresszuweisung für NFX250-Geräte kann nicht aktiviert werden.
Methode zur Adresszuweisung	Wählen Sie die Methode aus, um dem WAN-Link eine IPv6-Adresse zuzuweisen– DHCP (Dynamic Host Configuration Protocol – nur Router-Ankündigung), STATISCH oder SLAAC (Zustandslose Adressautokonfiguration). Dieses Feld wird nur angezeigt, wenn Sie die PPPoE/PPP-Umschaltschaltfläche deaktiviert haben. Wenn Sie STATISCH auswählen, müssen Sie das IPv6-Adresspräfix und die Gateway-IPv6-Adresse für den WAN-Link angeben. Hinweis: Bei Internet- und MPLS-Links mit LTE-Zugriffstyp können Sie nur DHCP für die Adresszuweisung auswählen.
Statische IP-Präfixe	Wenn Sie die Adresszuweisungsmethode als STATISCH konfiguriert haben, geben Sie das IPv6-Adresspräfix des WAN-Links ein.
Gateway-IP-Adresse	Wenn Sie die Adresszuweisungsmethode als STATISCH konfiguriert haben, geben Sie die IPv6-Adresse des Gateways des WAN-Service Providers ein.
WAN-Verbindung (primär oder sekundär)	Für Dual-CPE-Gerätevorlagen wird angezeigt, ob es sich bei dem WAN-Link um einen primären oder einen sekundären Link handelt. Dieses Feld kann nicht geändert werden.
Erweiterte Einstellungen
Adressfamilie (Tunnelerstellung)	Wählen Sie die Underlay-Adressfamilie (IPv4 oder IPv6), die zum Aufbau des Overlay-Tunnels verwendet wird. Die Optionen in der Liste werden basierend auf der Adressfamilie aufgefüllt, die Sie für das Underlay konfiguriert haben (entweder IPv4 oder IPv6 oder beides).
Anbieter	Geben Sie den Namen des Service Providers (SP) ein, der den WAN-Service bereitstellt. Nur alphanumerische Zeichen und '_', '@', '.', '/', '#', '&', '+' und '-' sind zulässig. Die maximal zulässige Anzahl von Zeichen beträgt 15.
Kosten/Monat	Geben Sie die Kosten für die Verwendung des WAN-Links pro Monat ein und wählen Sie aus der benachbarten Dropdown-Liste die Währung aus, in der die Kosten angezeigt werden. Reichweite: 1 bis 10.000. In bandbreitenoptimierten SD-WAN nutzt CSO diese Informationen, um den kostengünstigsten Link für das Routen des Datenverkehrs zu identifizieren, wenn mehrere WAN-Verbindungen SLA-Profilparameter erfüllen.
Link-Priorität	Geben Sie einen Wert im Bereich 1–255 ein. Ein niedrigerer Wert zeigt einen bevorzugten Link an. Der Wert 1 bedeutet die höchste und der Wert 255 die niedrigste Priorität. Wenn Sie keinen Wert eingeben, wird die Verbindungspriorität als 255 betrachtet.
Lokales Breakout aktivieren	Klicken Sie auf die Umschalttaste, um einen lokalen Breakout auf dem WAN-Link zu aktivieren. Standardmäßig ist der lokale Breakout deaktiviert. Hinweis: Wenn Sie diese Option aktivieren, kann der WAN-Link für lokale Breakouts verwendet werden. Die Entscheidung, ob der Datenverkehr lokal von der Website ausgeht, hängt vom Breakout-Profil ab, auf das in der SD-WAN-Richtlinienabsicht verwiesen wird. Wenn Sie keinen lokalen Breakout für mindestens einen WAN-Link für einen einzelnen CPE-Verbindungsplan und mindestens zwei WAN-Verbindungen für einen Dual-CPE-Verbindungsplan aktivieren, wird der lokale Breakout für den Standort deaktiviert.
Breakout-Optionen	Wählen Sie aus, ob Sie den WAN-Link sowohl für Breakout- als auch für WAN-Datenverkehr (Standard) oder nur für Breakout-Datenverkehr verwenden möchten.
KARTE-E	Klicken Sie auf die Umschalttaste, um die Zuordnung von Adressen und Ports mit MAP-E-Funktionen (Encapsulation) auf dem IPv6-WAN-Link zu aktivieren oder zu deaktivieren. STANDARDMÄßIG ist MAP-E deaktiviert. MAP-E unterstützt den Transport von IPv4-Paketen über ein IPv6-Netzwerk über die IPv4-in-IPv6-Kapselung. Weitere Informationen zu MAP-E finden Sie unter Zuordnung von Adressen und Ports mit Kapselung auf Geräten der NFX-Serie. Hinweis: MAP-E ist nur mit dem Japan Network Enabler (JPNE)-Standard konform. CSO unterstützt MAP-E nur auf einer WAN-Verbindung der Zweigstelle (nur Secure SD-WAN Advanced Service) mit NFX150 als CPE. Die IPV6-Adresszuweisung und lokale Breakouts müssen für den WAN-Link aktiviert sein.
Quell-NAT-Regel automatisch erstellen	Hinweis: Sites mit Secure SD-WAN Essentials Serviceunterstützung nur schnittstellenbasierte Quell-NAT-Regeln. Wenn Sie diese Optionen für eine SD-WAN Essentials-Website aktivieren, werden schnittstellenbasierte Quell-NAT-Regeln automatisch angewendet. Wenn Sie diese Optionen für eine SD-WAN Advanced-Site aktivieren, müssen Sie eine NAT-Quellregel aus dem Feld Übersetzung auswählen. Klicken Sie auf die Umschaltschaltfläche, um die automatische Erstellung von Quell-NAT-Regeln zu aktivieren oder zu deaktivieren. Dieses Feld ist standardmäßig aktiviert, wenn die IPv4-Adresszuweisung und der lokale Breakout für den WAN-Link aktiviert sind. Tabelle 2 erläutert, wie Quell-NAT-Regeln automatisch für den WAN-Link erstellt werden. Die automatisch erstellten Quell-NAT-Regeln werden implizit definiert und auf die Website angewendet und sind auf der Seite NAT-Richtlinien nicht sichtbar. Hinweis: Sie können automatisch erstellte NAT-Regeln manuell außer Kraft setzen, indem Sie eine NAT-Regel in einem bestimmten Regelsatz erstellen. Wenn Sie beispielsweise einen QUELL-NAT-Pool anstelle einer Schnittstelle für die Übersetzung verwenden möchten, erstellen Sie innerhalb dieses bestimmten Regelsatzes eine NAT-Regel, die die entsprechende Abteilungszone und die WAN-Schnittstelle als Quelle und Ziel umfasst. Zum Beispiel: Dept-Zone1 --> W1 : Translation=Pool-2 Die manuell erstellte NAT-Regel hat eine höhere Priorität als die entsprechende automatisch erstellte NAT-Regel. Sie können auch andere Felder (z. B. Adressen, Ports, Protokolle usw.) als Teil der Quell- oder Zielendpunkte hinzufügen. Zum Beispiel: Dept-Zone1, Port 56578 --> W1: Translation=Pool-2
Übersetzung	Hinweis: Dieses Feld wird nur angezeigt, wenn die automatische Erstellung von Quell-NAT-Regeln für den WAN-Link aktiviert ist und der verwendete SD-WAN-Service Advanced ist. Sites mit Secure SD-WAN Essentials Serviceunterstützung nur schnittstellenbasierte Quell-NAT-Regeln. Wählen Sie den NAT-Typ aus, der für den Datenverkehr auf dem WAN-Link verwendet werden soll: Schnittstelle: Verwenden Sie schnittstellenbasiertes NAT, das ist der Standard. Pool: Verwenden Sie poolbasierte NAT. Wenn Sie diese Option auswählen, müssen Sie die IP-Adressen angeben, die für den NAT-Pool verwendet werden sollen. Hinweis: Für mandanteneigene öffentliche IP-Adressen wird keine NAT durchgeführt.
IP-Adressen	Geben Sie für poolbasiertes NAT eine oder mehrere IP-Adressen, Subnetzen oder einen IP-Adressbereich ein. Trennen Sie mehrere IP-Adressen mithilfe von Kommas und verwenden Sie einen Bindestrich, um einen Bereich zu bezeichnen. zum Beispiel 192.0.2.1-192.0.2.50.
Bevorzugter Breakout-Link	Klicken Sie auf die Umschalttaste, um den WAN-Link als bevorzugten Breakout-Link zu aktivieren. Wenn Sie diese Option deaktivieren, wird der Breakout-Link mithilfe von ECMP aus den verfügbaren Breakout-Links ausgewählt.
BGP-Underlay-Optionen	Hinweis: Nicht anwendbar auf Standorte mit SD-WAN Essentials-Service. Hinweis: Diese Einstellung kann nur konfiguriert werden, wenn die IPv4-Adresszuweisung (mit STATIC als Adresszuweisungsmethode) und lokaler Breakout für den WAN-Link aktiviert sind. Klicken Sie auf die Umschalttaste, um BGP-Underlay-Routing zu aktivieren. Wenn Sie BGP-Underlay-Routing aktivieren, routen Sie Ankündigungen an den primären PE-Knoten, und, wenn konfiguriert, erfolgt der sekundäre PE-Knoten wie folgt: CSO kündigt das WAN-Schnittstellen-Subnetz an. Wenn Sie eine poolbasierte Übersetzung konfiguriert haben, kündigt CSO den NAT-Adresspool an. Hinweis: Wenn Underlay-BGP für einen WAN-Link aktiviert ist, werden die von BGP gelernten Routen für lokale Breakouts installiert. CSO generiert die statische Standardroute nicht.
Primärer Nachbar	Zeigt die IP-Adresse an, die Sie für das Gateway für die WAN-Verbindung eingegeben haben.
Sekundärer Nachbar	Wenn Sie PE-Ausfallsicherheit bereitstellen möchten, können Sie einen sekundären PE-Knoten konfigurieren. Geben Sie die IP-Adresse des sekundären PE-Knotens ein. Hinweis: Wenn der primäre PE-Knoten ausfällt, wird das sekundäre PE als nächster Hop verwendet. Wenn das primäre PE wieder eingerichtet wird, werden die nächsten Hops der Route in das primäre PE geändert.
eBGP Peer-AS-Nummer	Geben Sie die Nummer des autonomen Systems (AS) für den externen Peer (EBGP) ein. Hinweis: Wenn die Peer-AS-Nummer nicht konfiguriert ist oder die konfigurierte Peer-AS-Nummer mit der des CPE-Standorts identisch ist, wird angenommen, dass der BGP-Typ interne BGP (IBGP) ist.
Authentifizierung	Wählen Sie die zu verwendenden BGP-Routenauthentifizierungsmethode aus: Keine – Gibt an, dass keine Authentifizierung verwendet werden sollte. Dies ist der Standard. MD5 verwenden – Gibt an, dass MD5 für die Authentifizierung verwendet werden soll. Wenn Sie diese Option auswählen, müssen Sie einen Authentifizierungsschlüssel angeben.
Auth-Schlüssel	Wenn Sie angegeben haben, dass MD5 für die Authentifizierung verwendet werden soll, geben Sie einen MD5-Authentifizierungsschlüssel (Kennwort) an, mit dem die Echtheit von BGP-Paketen überprüft wird.
Öffentliche LAN-Präfixe bekannt machen	Klicken Sie auf die Umschalttaste, um die Ankündigung öffentlicher LAN-Präfixe zu aktivieren. Dieses Feld ist standardmäßig deaktiviert. Wenn für den Mandanten ein öffentlicher IP-Adressenpool konfiguriert ist und Sie die Ankündigung öffentlicher LAN-Präfixe aktivieren, gibt CSO für LAN-Segmente, die mit einem Subnetz erstellt werden, das unter den öffentlichen IP-Adresspool des Mandanten fällt, das LAN-Subnetz dem BGP-Underlay an. Hinweis: Wenn die öffentliche LAN-Werbung für den WAN-Link aktiviert ist, werden öffentliche LAN-Präfixe über das BGP-Underlay in Richtung MPLS oder Internet angekündigt. Wenn an einem Standort zwei Versionen der Route für dasselbe LAN-Präfix im Overlay und Underlay installiert sind, werden die Overlay-Routen immer gegenüber dem Underlay bevorzugt.
Verwendung für Fullmesh	Klicken Sie auf die Umschalttaste, um anzugeben, ob der WAN-Link Teil einer fullmesh-Topologie sein kann. Ein Standort mit einem Single-CPE-Gerät kann maximal drei WAN-Verbindungen für das Meshing aktivieren, und an einem Standort mit Dual-CPE-Geräten können maximal vier WAN-Verbindungen für das Meshing aktiviert sein. Hinweis: Selbst wenn Sie dieses Feld aktivieren, unterstützen Standorte mit SD-WAN Essentials Service nicht die Erstellung oder Das Löschen von dynamischen Mesh-Tunneln basierend auf einem benutzerdefinierten Schwellenwert für die Anzahl der Sitzungen, die zwischen zwei Zweigstellen geschlossen werden. Ein OpCo- oder Mandantenadministrator kann jedoch über die CSO-GUI im Kundenportal einen statischen Tunnel zwischen Quell- und Zielstandort erstellen.
Mesh-Overlay-Verbindungstyp	Wenn die Verwendung für Fullmesh-Feld aktiviert ist, wählen Sie den Typ des Mesh-Overlay-Links aus – GRE und GRE_IPSEC. Wenn der Verbindungstyp Internet ist, ist der Wert für Mesh-Overlay-Linktyp standardmäßig GRE_IPSEC. Wenn der Verbindungstyp MPLS ist, wählen Sie eine der folgenden Optionen aus: GRE-IPSEC GRE Hinweis: Wenn Sie die IPv6-Adresszuweisung für DIE WAN-Verbindungen aktiviert haben, können Sie als Typ des Mesh-Overlay-Links nur GRE-IPSEC auswählen.
Mesh-Tag	Wenn das Feld "Für Fullmesh verwenden" aktiviert ist, geben Sie das Tag ein, das dem WAN-Link zum Erstellen von Tunneln zugeordnet werden soll. Sie können dem Link nur ein Tag zuweisen. Passende Mesh-Tags sind eines der Kriterien für die Formung von Tunneln zwischen Standorten, die das Meshing unterstützen. Für einen Zweigstellenstandort können Sie ein Mesh-Tag auswählen. Für einen Enterprise Hub können Sie einen oder mehrere Mesh-Tags auswählen. Weitere Informationen zu Mesh-Tags finden Sie unter Übersicht über Mesh-Tags.
Verbindungen zu Enterprise Hubs	Dieses Feld wird nicht angezeigt, wenn Sie das Feld Mesh-Tags zur Verbindung von EHub verwenden im Abschnitt Hub-Konfiguration aktiviert haben. Aktivieren Sie diese Umschalttaste, wenn Sie den Standort manuell mit einem Enterprise Hub verbinden möchten, ohne Mesh-Tags zu verwenden.
Primärer EHub-Tunneltyp	Dieses Feld wird nur angezeigt, wenn Sie das Feld Verbindungen zu Enterprise Hubs aktiviert haben. Wählen Sie den Tunneltyp aus, der für die Verbindung zwischen Zweigstelle und primärem Unternehmens-Hub verwendet werden soll.
Primäres EHub-Peer-Gerät	Dieses Feld wird nur angezeigt, wenn Sie das Feld Verbindungen zu Enterprise Hubs aktiviert haben. Zeigt den Namen des ausgewählten primären Enterprise-Hubs an.
Primäre Ehub-Peer-Schnittstelle	Dieses Feld wird nur angezeigt, wenn Sie das Feld Verbindungen zu Enterprise Hubs aktiviert haben. Wählen Sie den primären Enterprise-Hub-WAN-Link aus, der Teil des Tunnels sein muss. Sie können mehrere WAN-Verbindungen auswählen.
Sekundärer EHub-Tunneltyp	Dieses Feld wird nur angezeigt, wenn Sie das Feld Verbindungen zu Enterprise Hubs aktiviert haben. Wählen Sie den Tunneltyp aus, der für die Verbindung zwischen Der Zweigstelle und dem sekundären Enterprise Hub verwendet werden soll.
Sekundäres EHub-Peer-Gerät	Dieses Feld wird nur angezeigt, wenn Sie das Feld Verbindungen zu Enterprise Hubs aktiviert haben. Zeigt den Namen des sekundären Enterprise Hubs an, den Sie ausgewählt haben.
Secondary Ehub Peer Interface	Dieses Feld wird nur angezeigt, wenn Sie das Feld Verbindungen zu Enterprise Hubs aktiviert haben. Wählen Sie den sekundären Enterprise-Hub-WAN-Link aus, der Teil des Tunnels sein muss. Sie können mehrere WAN-Verbindungen auswählen.
Verbindungen zu Provider-Hubs	Hinweis: Das Feld Verbindet mit Provider-Hubs ist nur verfügbar, wenn Sie einen Provider Hub ausgewählt haben. Klicken Sie auf die Umschalttaste, um anzugeben, dass der WAN-Link des Standorts mit einem Hub verbunden ist. Hinweis: Für Standorte mit einem einzigen CPE müssen Sie mindestens einen WAN-Link aktivieren, um eine Verbindung mit dem Hub herzustellen, damit OAM-Datenverkehr übertragen werden kann. Für Standorte mit dualen CPE müssen Sie mindestens eine WAN-Verbindung pro Gerät aktivieren, um eine Verbindung mit dem Hub herzustellen, damit OAM-Datenverkehr übertragen werden kann.
Verwendung für OAM-Datenverkehr	Wenn Sie angegeben haben, dass der WAN-Link mit einem Hub verbunden ist, klicken Sie auf die Umschalttaste, um das Senden des OAM-Datenverkehrs über den WAN-Link zu aktivieren. Diese WAN-Verbindung wird dann zum Aufbau des OAM-Tunnels verwendet.
Overlay-Tunneltyp	Dieses Feld wird angezeigt, wenn das Feld Verbindet mit Provider-Hubs aktiviert ist und nur ein Provider-Hub (primär) angegeben wird. Wählen Sie den Mesh-Overlay-Tunneltyp (GRE und GRE_IPSEC) des Tunnels zum Hub aus. MPLS-Links können sowohl GRE als auch GRE_IPSEC als Overlay-Linktyp haben, wobei Internet-Links nur GRE_IPSEC als Overlay-Linktyp haben können.
Overlay-Peer-Gerät	Dieses Feld wird angezeigt, wenn das Feld Verbindet mit Provider-Hubs aktiviert ist und nur ein Provider-Hub (primär) angegeben wird. Zeigt das Peer-Hub-Gerät an, mit dem der Standort verbunden ist.
Overlay-Peer-Schnittstelle	Dieses Feld wird angezeigt, wenn das Feld Verbindet mit Provider-Hubs aktiviert ist und nur ein Provider-Hub (primär) angegeben wird. Wählen Sie den Schnittstellennamen des Hub-Geräts aus, mit dem die WAN-Verbindung des Standorts verbunden ist.
Overlay-Tunnel Typ 1	Dieses Feld wird angezeigt, wenn das Feld Verbindet mit Provider-Hubs aktiviert ist und sowohl primäre als auch sekundäre Hubs angegeben sind. Wählen Sie den Mesh-Overlay-Tunneltyp (GRE und GRE_IPSEC) für den Tunnel zum primären Hub aus. MPLS-Links können sowohl GRE als auch GRE_IPSEC als Overlay-Linktyp haben, wobei Internet-Links nur GRE_IPSEC als Overlay-Linktyp haben können.
Overlay-Peer-Gerät 1	Dieses Feld wird angezeigt, wenn das Feld Verbindet mit Provider-Hubs aktiviert ist und sowohl primäre als auch sekundäre Hubs angegeben sind. Zeigt das primäre Peer-Hub-Gerät an, mit dem der Standort verbunden ist.
Overlay-Peer-Schnittstelle 1	Dieses Feld wird angezeigt, wenn das Feld Verbindet mit Provider-Hubs aktiviert ist und sowohl primäre als auch sekundäre Hubs angegeben sind. Wählen Sie den Schnittstellennamen des primären Hub-Geräts aus, mit dem die WAN-Verbindung des Standorts verbunden ist.
Overlay-Tunnel Typ 2	Dieses Feld wird angezeigt, wenn das Feld Verbindet mit Provider-Hubs aktiviert ist und sowohl primäre als auch sekundäre Hubs angegeben sind. Wählen Sie den Mesh-Overlay-Tunneltyp (GRE und GRE_IPSEC) für den Tunnel zum sekundären Hub aus. MPLS-Links können sowohl GRE als auch GRE_IPSEC als Overlay-Linktyp haben, wobei Internet-Links nur GRE_IPSEC als Overlay-Linktyp haben können.
Overlay-Peer-Gerät 2	Dieses Feld wird angezeigt, wenn das Feld Verbindet mit Provider-Hubs aktiviert ist und sowohl primäre als auch sekundäre Hubs angegeben sind. Zeigt das sekundäre Peer-Hub-Gerät an, mit dem der Standort verbunden ist.
Overlay-Peer-Schnittstelle 2	Dieses Feld wird angezeigt, wenn das Feld Verbindet mit Provider-Hubs aktiviert ist und sowohl primäre als auch sekundäre Hubs angegeben sind. Wählen Sie den Schnittstellennamen des sekundären Hub-Geräts aus, mit dem die WAN-Verbindung des Standorts verbunden ist.
Backup-Link	Wählen Sie einen Backup-Link aus, über den Datenverkehr geroutet werden kann, wenn die primären (anderen) Links nicht verfügbar sind. Sie können einen anderen Link als die Standardlinks oder Links auswählen, die ausschließlich für lokalen Breakout-Datenverkehr konfiguriert sind. Wenn ein primärer Link wieder online ist, überwacht CSO die Leistung des primären Links, und wenn der primäre Link die SLA-Anforderungen erfüllt, wird der Datenverkehr wieder auf den primären Link umgestellt. Sla-Daten werden für den Backup-Link jedoch nicht überwacht.
Standard-Link	Wählen Sie eine oder mehrere Links aus, die für das Routing des Datenverkehrs verwendet werden, wenn keine übereinstimmenden SD-WAN-Richtlinienabsichten vorhanden sind. Ein Standort kann mehrere Standardverbindungen zum Hub-Standort haben. Standardlinks werden hauptsächlich für Overlay-Datenverkehr verwendet, können aber auch für lokalen Breakout-Datenverkehr verwendet werden. Ein Standardlink kann jedoch nicht ausschließlich für lokalen Breakout-Datenverkehr verwendet werden. Wenn Sie keine Standardverbindung angeben, wird der Link für das Routing des Datenverkehrs mithilfe des mehrfachen Pfads (ECMP zu gleichen Kosten) ausgewählt.
VLAN-ID	Geben Sie eine VLAN-ID für den WAN-Link ein. Bereich: 0 bis 4049 (4050 bis 4094 ist für CSO reserviert). Hinweis: Wenn Sie mehr als einen WAN-Link auf derselben physischen Schnittstelle konfigurieren, kann nur ein WAN-Link enttagt werden. für die verbleibenden WAN-Verbindungen müssen Sie eine VLAN-ID konfigurieren. Eine Kombination aus getaggten und nicht getaggten Auf der gleichen physischen Schnittstelle wird nur für einzelne CPE-Geräte unterstützt. Sie können keine Kombination aus getaggten und nicht getaggten WAN-Links auf derselben Et-Schnittstelle haben. Wenn Sie mehrere WAN-Links auf derselben Schnittstelle konfigurieren, müssen Sie für alle Verbindungen eine VLAN-ID angeben.
WAN_1 `WAN-Interface-Name`	Klicken Sie auf die Umschalttaste, um den WAN-Link zu aktivieren oder zu deaktivieren. Wenn Sie den WAN-Link aktivieren, werden Felder angezeigt, die sich auf den WAN-Link beziehen. Felder, die mit einem Sternchen () gekennzeichnet sind, müssen konfiguriert werden, um fortzufahren. Eine Erklärung der Felder finden Sie* `WAN-Interface-Name` in den für WAN_0 beschriebenen Feldern.
WAN_2 `WAN-Interface-Name`	Klicken Sie auf die Umschalttaste, um den WAN-Link zu aktivieren oder zu deaktivieren. Wenn Sie den WAN-Link aktivieren, werden Felder angezeigt, die sich auf den WAN-Link beziehen. Felder, die mit einem Sternchen () gekennzeichnet sind, müssen konfiguriert werden, um fortzufahren. Eine Erklärung der Felder finden Sie* `WAN-Interface-Name` in den für WAN_0 beschriebenen Feldern.
WAN_3 `WAN-Interface-Name`	Klicken Sie auf die Umschalttaste, um den WAN-Link zu aktivieren oder zu deaktivieren. Wenn Sie den WAN-Link aktivieren, werden Felder angezeigt, die sich auf den WAN-Link beziehen. Felder, die mit einem Sternchen () gekennzeichnet sind, müssen konfiguriert werden, um fortzufahren. Eine Erklärung der Felder finden Sie* `WAN-Interface-Name` in den für WAN_0 beschriebenen Feldern.
PPPoE/PPP-Einstellungen
Nutzername	Geben Sie den Benutzernamen für den PPPoE-Server oder PPP-Server ein, wie vom Service Provider angegeben. Zum Beispiel ISP-ANetzwerk.
Passwort	Geben Sie das Kennwort für den PPPoE- oder PPP-Server ein, wie vom Service Provider angegeben.
Authentifizierungsprotokoll	Wählen Sie Password Authentication Protocol (PAP) oder Challenge Handshake Authentication Protocol (CHAP) für die Authentifizierung aus, wie vom Service Provider angegeben.
Erweiterte Konfiguration Hinweis: Websites mit SD-WAN Essentials-Service unterstützen die Erstellung oder Das Löschen von dynamischen Mesh-Tunneln nicht, basierend auf einem benutzerdefinierten Schwellenwert für die Anzahl der Sitzungen, die zwischen zwei Zweigstellen geschlossen werden. Ein OpCo- oder Mandantenadministrator kann jedoch über die CSO-GUI im Kundenportal einen statischen Tunnel zwischen Quell- und Zielstandort erstellen.
OAM IP-Präfix	Geben Sie ein IPv4-Adresspräfix (z. B. 10.100.100.11/32) für die Loopback-Schnittstelle auf dem CPE-Gerät ein. Das IP-Adresspräfix sollte ein IP-Adresspräfix /32 sein und muss für das gesamte Verwaltungsnetzwerk eindeutig sein. Hinweis: Wir empfehlen, diese Einstellung nicht zu konfigurieren (lassen Sie das Feld IP-Präfix leer), da die Verwaltungskonnektivität automatisch von CSO verwaltet wird.
DVPN-Schwellenwert für die Tunnelerstellung	Hinweis: Nicht anwendbar auf Standorte mit SD-WAN Essentials-Service. Geben Sie die maximale Anzahl von Sitzungen ein, die zwischen den verbundenen Standorten geschlossen werden, und zwar in einer Dauer von zwei Minuten, bei denen vollständiges Mesh zwischen den beiden Standorten erstellt wird. Der Standardwert ist 5. Wenn Sie beispielsweise die Anzahl der Sitzungen als 5 angeben, werden dynamische Mesh-Tunnel erstellt, wenn die Anzahl der Sitzungen, die in zwei Zweigstellen in zwei Minuten geschlossen werden, 5 übersteigt.
DVPN-Schwellenwert für tunnellöschen	Hinweis: Nicht anwendbar auf Standorte mit SD-WAN Essentials-Service. Geben Sie die Anzahl der Sitzungen ein, die in einer Dauer von 15 Minuten zwischen den verbundenen Standorten geschlossen werden, unter denen full mesh zwischen den beiden Standorten gelöscht wird. Der Standardwert ist 8. Wenn Sie beispielsweise die Anzahl der geschlossenen Sitzungen als 8 angeben, werden dynamische Mesh-Tunnel gelöscht, wenn die Anzahl der geschlossenen Sitzungen geringer oder gleich 8 ist.
LAN-Segmentkonfiguration
LAN-Segment hinzufügen	Sie müssen mindestens ein LAN-Segment für einen Zweigstellenstandort hinzufügen. So fügen Sie ein LAN-Segment hinzu: Klicken Sie auf das Symbol + . Die Seite LAN-Segment hinzufügen wird angezeigt. Vervollständigen Sie die Konfigurationseinstellungen gemäß den InTabelle 3 bereitgestellten Richtlinien. Klicken Sie auf Speichern. Das LAN-Segment wird hinzugefügt und Sie werden zur Seite "Site `Tenant-Name` für hinzufügen" zurückgegeben.
`Configuration Templates (Optional)`
Liste der Konfigurationsvorlagen	Wählen Sie eine oder mehrere Konfigurationsvorlagen aus der Liste aus. Diese Liste wird basierend auf dem ausgewählten Gerät gefiltert. Konfigurationsvorlagen sind Phase-2-Vorlagen, die von Ihren OpCo-Administratoren, Sp- oder Mandantenadministratoren hinzugefügt werden. Hinweis: Sie müssen die Parameter der ausgewählten Konfigurationsvorlagen festlegen, bevor Sie zum LAN-Abschnitt wechseln. So setzen Sie die Parameter für die ausgewählten Konfigurationsvorlagen: Klicken Sie auf Parameter festlegen, nachdem Sie eine oder mehrere Konfigurationsvorlagen ausgewählt haben. Die Seite Gerätekonfigurationen wird angezeigt. Diese Seite besteht aus zwei Registerkarten: Konfigurieren und Zusammenfassung Füllen Sie auf der Registerkarte Konfigurieren die Attribute für jede der Konfigurationsvorlagen aus. (Optional) Zeigen Sie die CLI-Befehle auf der Registerkarte Zusammenfassung an. Klicken Sie auf Speichern. Sie haben die Parameter für die Konfigurationsvorlagen hinzugefügt und festgelegt, die Teil der websitevorlagen sind, die Sie erstellen.

Tabelle 2: Automatische Erstellung von Quell-NAT-Regeln
Quell-NAT-Regel automatisch erstellen	Übersetzung	Erstellung von NAT-Regeln
Deaktiviert	Nicht zutreffend (keine NAT)	Nichts.
Aktiviert	Schnittstellenbasiert (Standard) – CSO erstellt schnittstellenbasierte NAT-Regeln.	Quell-NAT-Regeln werden automatisch erstellt, wobei jede Regel von einer Abteilungszone zur WAN-Schnittstelle mit einer Übersetzung des Typs Schnittstelle erstellt wird. Jedes Paar von [zone - interface] stellt einen Regelsatz dar. Beispielsweise könnte der folgende Regelsatz für die Abteilungszone zu (WAN-Link) W1-Schnittstellen erstellt werden: Dept-Zone1 --> W1: Translation=Interface Dept-Zone2 --> W1: Translation=Interface Dept-Zone3 --> W1: Translation=Interface Wenn der Datenverkehr von einer Zweigstelle an einem Enterprise Hub ausbricht, wird automatisch eine Quell-NAT-Regel am Enterprise Hub von der Abteilung Routinggruppe (auch VRF-Gruppe genannt) zur WAN-Schnittstelle erstellt. Dept-vrf-group --> W1: Translation=Interface
Aktiviert	Pool-basiert– CSO erstellt automatisch poolbasierte NAT-Regeln (nicht anwendbar für Standorte mit SD-WAN Essentials-Service).	Quell-NAT-Regeln werden automatisch erstellt, wobei jede Regel von einer Abteilungszone zum WAN-NAT-Pool mit einer Übersetzung des Typpools erstellt wird. Beispielsweise könnte eine Quell-NAT-Regel aus der Abteilungszone zum NAT-Pool erstellt werden: Dept-Zone1 --> W1 : Translation=Pool-1 Dept-Zone2 --> W1 : Translation=Pool-1 Wenn der Datenverkehr von einer Zweigstelle an einem Enterprise Hub ausbricht, wird automatisch eine Quell-NAT-Regel am Enterprise Hub erstellt, von der Routinggruppe der Abteilung zum WAN-Pool. Dept-vrf-group --> W1: Translation=Pool

Tabelle 3: Felder auf der Seite "LAN-Segment hinzufügen"
Feld	Beschreibung
Verwendung für Overlay-VPN	Aktivieren Sie das Feld Verwendung für Overlay-VPN , um das LAN-Segment der ausgewählten Abteilung (VRF + ZONE) für Overlay-Datenverkehr zu anderen Standorten zu zuordnen. Deaktivieren Sie das Feld Für Overlay-VPN verwenden , um das LAN-Segment mit einer Sicherheitszone für Underlay-Breakouts zu verknüpfen. Sie müssen zonenbasierte Sicherheitsrichtlinien definieren. Hinweis: Wenn Sie einen neuen Standort hinzufügen, ist dieses Feld standardmäßig aktiviert und kann nicht geändert werden. Wenn Sie jedoch ein neues LAN-Segment zu einer bereitgestellten Site über die Registerkarte LAN der Seite Standortname hinzufügen, können Sie diese Option aktivieren oder deaktivieren.
Namen	Geben Sie einen Namen für das LAN-Segment ein. Der Name für ein LAN-Segment sollte eine eindeutige Zeichenfolge aus alphanumerischen Zeichen und einigen Sonderzeichen (. -) sein. Es sind keine Leerzeichen zulässig und die maximale Länge beträgt 15 Zeichen.
CPE-Port	Hinweis: Anwendbar auf Firewalls der SRX-Serie. Wählen Sie den CPE-Port aus, der dem LAN-Segment hinzugefügt werden soll. Wenn Sie einem bereitgestellten Standort über die Registerkarte `Site-Name` LAN der Seite ein neues LAN-Segment hinzufügen, können Sie eine LAG-Schnittstelle oder eine redundante Ethernet-Schnittstelle (für Dual-CPE-Cluster) auswählen (oder erstellen), um die CPE-Geräte der SRX-Serie mit einem Switch der EX-Serie zu verbinden. Um die et-Schnittstelle auf SRX4600-Geräten zu verwenden, müssen Sie eine LAG-Schnittstelle erstellen und die et-Schnittstelle als Mitglied der LAG-Schnittstelle (aggregiertes Ethernet oder ae) konfigurieren. Siehe LAG-Schnittstelle erstellen. Für einen SRX4600-Dual-CPE-Cluster können Sie die et-Schnittstelle verwenden, wenn sie als Mitglied der redundanten Ethernet-Schnittstelle (reth) konfiguriert ist.
LAG-Schnittstelle hinzufügen	Hinweis: Diese Option ist verfügbar, wenn Sie auf der Registerkarte `Site-Name` LAN der Seite einem bereitgestellten Standort ein neues LAN-Segment hinzufügen. Klicken Sie auf den Link, um eine LAG-Schnittstelle (ae-Schnittstelle) zu erstellen, wenn Sie sie verwenden möchten, um das CPE der SRX-Serie mit dem Switch der EX-Serie zu verbinden. Weitere Informationen finden Sie unter LAG-Schnittstelle erstellen .
RETH-Schnittstelle erstellen	Hinweis: Diese Option ist verfügbar, wenn Sie auf der Registerkarte `Site-Name` LAN der Seite einem bereitgestellten Standort ein neues LAN-Segment hinzufügen. Klicken Sie auf den Link, um eine reth-Schnittstelle für einen SD-WAN-Standort mit einem Dual-CPE-Cluster zu erstellen. Weitere Informationen finden Sie unter Erstellen einer RETH-Schnittstelle .
Typ Hinweis: Dieses Feld wird nur für LAN-Segmente angezeigt, die mit Enterprise Hub-Standorten verknüpft sind.	Wählen Sie den Typ des LAN-Segments aus: Direkt verbunden (Standard) – Gibt an, dass das LAN-Segment direkt mit dem Standort verbunden ist. Dynamic Routed : Zeigt an, dass das LAN-Segment nicht direkt mit dem Standort verbunden ist und über eine dynamische Route erreichbar ist. Wenn Sie diese Option auswählen, müssen Sie die dynamischen Routing-Informationen angeben.
VLAN-ID	Geben Sie die VLAN-ID für das LAN-Segment ein. Standardmäßig ist die VLAN-ID auf 1 und das native VLAN für nicht getaggten Datenverkehr aktiviert. Sie können VLAN-IDs in den folgenden Bereichen verwenden, um LAN-Segmente zu konfigurieren: Firewalls der SRX-Serie (Single- und Dual-CPE) und virtuelle vSRX-Firewall: 1 – 4094 (in Versionen vor CSO-Version 6.2.0 beträgt der Bereich 1 – 4049) NFX250 (Single- und Dual-CPE) und NFX150-Geräte: 1 – 4049
Verwendung für natives VLAN	Aktivieren Sie diese Option, um die oben angegebene VLAN-ID für nicht getaggten Datenverkehr zu verwenden. Die CPE-Schnittstelle ist mit einer nativen vlan-id konfiguriert, die den gleichen Wert wie die VLAN-ID hat.
Abteilung	Hinweis: Dieses Feld ist nur verfügbar, wenn das Feld Für Overlay-VPN verwenden aktiviert ist. Wählen Sie eine Abteilung aus, der das LAN-Segment zugewiesen ist. Alternativ klicken Sie auf den Link Abteilung erstellen , um eine neue Abteilung zu erstellen, und weisen Sie ihr das LAN-Segment zu. Weitere Informationen finden Sie unter Hinzufügen einer Abteilung . Sie können LAN-Segmente zur einfachen Verwaltung und Anwendung von Richtlinien auf Abteilungsebene als Abteilungen gruppieren. Für lan-Segmente, die dynamisch geroutet werden, können Sie nur eine Datencenter-Abteilung zuweisen.
Gateway-Adresse/-Maske	Geben Sie eine gültige Gateway-IP-Adresse und eine Maske für das LAN-Segment ein. Diese Adresse ist das Standard-Gateway für Endgeräte in diesem LAN-Segment. Zum Beispiel: 192.0.2.8/24.
Zone	Hinweis: Dieses Feld ist nur verfügbar, wenn das Feld Für Overlay-VPN verwenden deaktiviert ist. Wählen Sie eine Sicherheitszone aus, die diesem LAN-Segment zugeordnet werden soll. Klicken Sie alternativ auf Zone erstellen , um eine neue Sicherheitszone zu erstellen, und weisen Sie diese diesem LAN-Segment zu. Weitere Informationen finden Sie unter Hinzufügen einer Sicherheitszone .
DHCP	Klicken Sie bei direkt verbundenen LAN-Segmenten auf die Umschalttaste, um DHCP zu aktivieren. Sie können DHCP aktivieren, wenn Sie IP-Adressen mithilfe eines DHCP-Servers zuweisen möchten, oder DHCP deaktivieren, wenn Sie dem LAN-Segment eine statische IP-Adresse zuweisen möchten. Hinweis: Wenn Sie DHCP aktivieren, werden zusätzliche Felder auf der Seite angezeigt.
Zusätzliche Dhcp-bezogene Felder
Adressbereich niedrig	Geben Sie die Start-IP-Adresse im Bereich der IP-Adressen ein, die vom DHCP-Server dem LAN-Segment zugewiesen werden kann.
Adressbereich hoch	Geben Sie die endende IP-Adresse im Bereich der IP-Adressen ein, die vom DHCP-Server dem LAN-Segment zugewiesen werden kann.
Maximale Leasingdauer	Geben Sie die maximale Dauer (in Sekunden) an, für die ein Client eine Lease auf dem DHCP-Server anfordern und halten kann. Standard: 1440 Reichweite: 0 bis 4.294.967.295 Sekunden.
Nameserver	Geben Sie eine oder mehrere IPv4-Adressen des DNS-Servers an. Um mehr als eine DNS-Serveradresse einzugeben, geben Sie die Adresse ein, drücken Sie die Eingabetaste, und geben Sie dann die nächste Adresse ein. Hinweis: DNS-Server werden verwendet, um Hostnamen in IP-Adressen aufzulösen.
CPE-Ports	Hinweis: Anwendbar auf NFX150- und NFX250-Geräte. Für Standorte mit SD-WAN-Funktion ist das Feld CPE-Ports deaktiviert und die CPE-Ports, die Sie in das LAN-Segment einschließen können, werden aufgelistet. Wählen Sie die Ports aus der Spalte Verfügbar aus, und klicken Sie auf den Pfeil nach rechts, um die Ports in die Ausgewählte Spalte zu verschieben.
Statisches Routing In diesem Abschnitt können Sie statisches Routing für das LAN-Segment konfigurieren. Geben Sie die IP-Adressen aller LAN-Router an, die mit dem CPE-Gerät verbunden sind, und der statischen Subnetzen hinter diesen Routern.
IP-Präfix für LAN-Router hinzufügen
LAN-Router-IP	Geben Sie die IP-Adresse des LAN-Routers ein, der mit dem CPE-Gerät verbunden ist.
Präfix	Geben Sie die Subnetze ein, die mit dem LAN-Router verbunden sind.
BFD	Aktivieren Sie bidirektionale Weiterleitungserkennung (BIDIRECTIONAL Forwarding Detection, BFD), um Fehler auf der statischen Route zu erkennen.
Dynamisches Routing
Routingprotokoll	Aktivieren Sie diese Umschalttaste, um dynamisches Routing mit dem BGP- oder OSPF-Protokoll zu konfigurieren.
BFD	Aktivieren Sie Bidirectional Forwarding Detection (BFD), um Ausfälle im LAN-Segment zu erkennen.
Protokoll	Wählen Sie entweder BGP oder OSPF.
BGP-Konfiguration Hinweis: Ab Version 6.1.0 deaktiviert CSO explizit die Langlebige Graceful-Restart-Funktion (LLGR) für BGP-Peering-Sitzungen mit Provider Edge (PE) und Datencenter- oder LAN-Routern. Durch die Deaktivierung von LLGR wird sichergestellt, dass das CPE unabhängig von der LLGR-Funktion des Peering-Routers die Routenankündigungen zum Peering-Router nicht differenziert. Vor CSO-Version 6.1.0 ist der LLGR-Hilfsmodus standardmäßig aktiviert (implizites Verhalten von Junos OS) auf dem CPE für BGP-Peering zu PE-Routern in IP-VPN-Bereitstellungen und Datencenter- oder LAN-Routern in Datencenter-Bereitstellungen.
Authentifizierung	Wählen Sie die zu verwendenden BGP-Routenauthentifizierungsmethode aus: Keine – Gibt an, dass keine Authentifizierung verwendet werden sollte. Dies ist der Standard. MD5 verwenden – Gibt an, dass MD5 für die Authentifizierung verwendet werden soll. Wenn Sie diese Option auswählen, müssen Sie einen Authentifizierungsschlüssel angeben.
Auth-Schlüssel	Wenn Sie angegeben haben, dass MD5 für die Authentifizierung verwendet werden soll, geben Sie einen MD5-Authentifizierungsschlüssel (Kennwort) an, mit dem die Echtheit von BGP-Paketen überprüft wird.
BGP-Optionen	Sie können die folgenden Optionen entsprechend Ihren Anforderungen auswählen: AS-OVERRIDE: Ersetzt alle Vorkommen der Peer-AS-Nummer im AS-Pfad durch eine eigene AS-Nummer, bevor die Route zum Peer beworben wird. AS-PATH-PREPEND: Gibt ein oder mehrere autonome Systemnummern (AS) am Anfang eines AS-Pfads vor. Wenn ein AS-Pfad bevorsteht, sieht ein kürzerer AS-Pfad länger aus und wird daher BGP weniger vorzuziehen. AS-LOOP: Ermöglicht das Hinzufügen der AS-Nummer des lokalen Geräts in den empfangenen AS-Pfaden. Sie können angeben, wie oft die Erkennung von lokaler AS im AS-Pfad zulässig ist.
Kreisläufe	Dieses Feld wird nur angezeigt, wenn Sie AS-LOOP auswählen. Geben Sie die maximale Anzahl der Zulässigkeit der Erkennung lokaler AS im AS-Pfad ein.
Peer-IP-Adresse	Geben Sie die IP-Adresse des LAN-BGP-Peers ein.
Peer-AS-Nummer	Geben Sie die Nummer des autonomen Systems (AS) des LAN-BGP-Peers ein. Standardmäßig verwendet CSO die AS-Nummer 64512. Sie können eine andere AS-Nummer eingeben.
Lokale AS-Nummer	Geben Sie die lokale AS-Nummer ein. Wenn Sie diesen Parameter konfigurieren, wird die lokale AS-Nummer für BGP-Peering verwendet, anstatt die für den CPE konfigurierte globale AS-Nummer.
OSPF-Konfiguration
OSPF-Bereichs-ID	Geben Sie den OSPF-Bereichsbezeichner an, der für die dynamische Route verwendet werden soll.
Authentifizierung	Wählen Sie die zu verwendenden OSPF-Routenauthentifizierungsmethode aus: Kennwort: Gibt an, dass kennwortbasierte Authentifizierung verwendet werden sollte. Wenn Sie diese Option auswählen, müssen Sie das Kennwort angeben. (Dies ist der Standard). MD5 verwenden – Gibt an, dass MD5 für die Authentifizierung verwendet werden soll. Wenn Sie diese Option auswählen, müssen Sie einen Authentifizierungsschlüssel angeben. Keine – Gibt an, dass keine Authentifizierung verwendet werden sollte.
Passwort	Geben Sie das Kennwort ein, das zur Überprüfung der Echtheit von OSPF-Paketen verwendet werden soll.
Kennwort bestätigen	Eingeben des Kennworts zu Bestätigungszwecken.
MD5 Auth Key-ID	Wenn Sie angegeben haben, dass MD5 für die Authentifizierung verwendet werden soll, geben Sie die OSPF MD5-Authentifizierungsschlüssel-ID ein. Bereich: 1 bis 255.
Auth-Schlüssel	Wenn Sie angegeben haben, dass MD5 für die Authentifizierung verwendet werden soll, geben Sie einen MD5-Authentifizierungsschlüssel ein, der zur Überprüfung der Echtheit von OSPF-Paketen verwendet wird.
Routing-Ankündigungssteuerung
LAN-Route(n) zu Overlay	Wenn diese Option aktiviert ist, werden LAN-Routen dem SD-WAN-Overlay angekündigt. Standardmäßig ist diese Option aktiviert.
Exportrichtlinie Für eine detailliertere Kontrolle der Routen, die im Overlay-Netzwerk angekündigt werden, können Sie Richtlinien in Verbindung mit der Option LAN Route(s) to Overlay konfigurieren. Wenn beispielsweise die Option LAN Route(s) to Overlay aktiviert ist, können Sie Richtlinien konfigurieren, um zu verhindern, dass bestimmte Routen angekündigt werden. Ebenso können Sie richtlinien konfigurieren, wenn die Option LAN Route(s) to Overlay deaktiviert ist, damit nur bestimmte Routen angekündigt werden können. Wenn Sie die Reihenfolge der Richtlinien ändern möchten, ziehen Sie die Zeilen per Drag-and-Drop nach oben oder unten. Klicken Sie zum Hinzufügen einer Richtlinie auf das Symbol +.
Exportrichtlinie hinzufügen
Namen	Geben Sie einen Namen für die Richtlinie ein. Der Name kann Buchstaben, Zahlen und Bindestriche (-) enthalten und kann bis zu 255 Zeichen lang sein.
Spielbedingungen	Eine Übereinstimmungsbedingung definiert die Kriterien, die die Route erfüllen muss. Sie können eine oder mehrere der folgenden Übereinstimmungsbedingungen definieren: Aus: Protokoll: Wählen Sie ein oder mehrere Protokolle aus, die übereinstimmen. From: Prefix ( Geben Sie die Routenpräfixe ein, die übereinstimmen sollen. Prefix-Übereinstimmung – Wählen Sie den Übereinstimmungstyp für das Präfix aus: Genau: Routen müssen genau einem der Präfixe entsprechen. Länger: Routen müssen innerhalb der angegebenen Präfixe sein und die Präfixlänge der Route muss größer als die angegebene Präfixlänge sein. oder länger: Routen müssen innerhalb der angegebenen Präfixe sein und die Präfixlänge der Route muss größer oder gleich der angegebenen Präfixlänge sein. Von: Tag: Geben Sie eine Zahl ein, die den Routen zugeordnet werden soll. Bereich: 0 bis 4.294.967.295
Dann: Aktion	Wählen Sie eine der folgenden Aktionen für die Routen aus, die die Übereinstimmungsbedingungen erfüllen: Akzeptieren: Stellen Sie die abgestimmten Routen zum SD-WAN-Overlay an. Ablehnen – Weisen Sie die übereinstimmend geschlagenen Routen ab. Nächster Begriff: Bewerten Sie den nächsten Begriff in der Richtlinie.
Overlay-Routen zu LAN	Diese Option wird nur angezeigt, wenn Sie die Umschaltschaltfläche des Routingprotokolls aktivieren. Standardmäßig ist diese Option deaktiviert. Aktivieren Sie diese Option, um die SD-WAN-Overlay-Routen zum LAN-Router anzukündigen. Sie können Import- und Exportrichtlinien für eine granulare Steuerung der Routenanzeigen verwenden. Hinweis: In CSO-Version 6.0.0 und früheren Versionen heißt diese Option LAN-Präfix bewerben und gilt nur für Datencenter-Abteilungen.
BGP- oder OSPF-Importrichtlinie (Dieser Abschnitt wird angezeigt, wenn Sie dynamisches Routing aktiviert haben.)	Sie können Exportrichtlinien für eine granulare Steuerung der Routen hinzufügen, die vom CPE für den LAN-Router angekündigt werden. Wenn Sie die Reihenfolge der Richtlinien ändern möchten, ziehen Sie die Zeilen per Drag-and-Drop nach oben oder unten. Klicken Sie zum Hinzufügen einer Richtlinie auf das Symbol +. Siehe Tabelle 4
BGP- oder OSPF-Exportrichtlinie (Dieser Abschnitt wird angezeigt, wenn Sie dynamisches Routing aktiviert haben.)	Sie können Exportrichtlinien für eine granulare Steuerung der Routen hinzufügen, die vom CPE für den LAN-Router angekündigt werden. Wenn Sie die Reihenfolge der Richtlinien ändern möchten, ziehen Sie die Zeilen per Drag-and-Drop nach oben oder unten. Klicken Sie zum Hinzufügen einer Richtlinie auf das Symbol +. Siehe Tabelle 4
Statische/Aggr-Routen zum Overlay	Aktivieren Sie diese Option, um die Ankündigung statischer oder aggregierter Routen zum Overlay-Netzwerk zu ermöglichen. Wenn eine große Anzahl von LAN-Routen vorhanden ist, können Sie die Option LAN-Routen zu Overlay deaktivieren und diese Option verwenden, um aggregierte Routen anzukündigen. Wenn Sie zusätzliche Routen ankündigen möchten, können Sie die Option LAN-Routen zu Overlay aktivieren und diese Option verwenden, um zusätzliche statische Routen anzukündigen.

(Richtlinientyp:

Tabelle 4: BGP- und OSPF-Richtlinien
Richtlinientyp	Match Conditions Actions	Bedingungen abgleichen)
BGP-Importrichtlinie	Sie können eine oder mehrere der folgenden Übereinstimmungsbedingungen definieren: From: Prefix ( Geben Sie die Routenpräfixe ein, die übereinstimmen sollen. Prefix-Übereinstimmung – Wählen Sie den Übereinstimmungstyp für das Präfix aus: Genau: Routen müssen genau einem der Präfixe entsprechen. Länger: Routen müssen innerhalb der angegebenen Präfixe sein und die Präfixlänge der Route muss größer als die angegebene Präfixlänge sein. oder länger: Routen müssen innerhalb der angegebenen Präfixe sein und die Präfixlänge der Route muss größer oder gleich der angegebenen Präfixlänge sein. From: Neighbor –Geben Sie die IP-Adresse des LAN-BGP-Peers ein. Von: Community– Geben Sie den Namen einer oder mehrerer Communitys ein. Eine Übereinstimmung tritt auf, wenn ein Name mit dem Community-Attribut des empfangenen Präfixes übereinstimmt. From: AS Path (As Path): Geben Sie den vorkonfigurierten, autonomen System (AS) Pfad regulären Ausdruck ein, der abgeglichen werden muss.	Dann: AS Path Prepend – Geben Sie die AS-Nummern ein, die dem AS-Pfad einer Route vorausgezahlt werden müssen. Verwenden Sie ein Leerzeichen, um die Zahlen zu trennen. Dann: Anzahl der AS-Pfaderweiterungen – Geben Sie ein, wie oft die letzte AS-Nummer im vorhandenen AS-Pfad am Anfang des AS-Pfads angebracht werden muss. Die AS-Nummern werden hinzugefügt, bevor die lokale AS-Nummer zum Pfad hinzugefügt wird. Bereich: 1 bis 32 Dann: Community hinzufügen – Fügen Sie eine neue Community hinzu. Dann: Lokale Präferenz – Geben Sie einen lokalen Präferenzwert für die Route ein. Bereich: 0 bis 4.294.967.295 Dann: Aktion– Wählen Sie eine der folgenden Aktionen für die Routen aus, die die Übereinstimmungsbedingungen erfüllen: Akzeptieren – Akzeptieren Sie die abgestimmten Routen. Ablehnen – Weisen Sie die übereinstimmend geschlagenen Routen ab. Nächster Begriff: Bewerten Sie den nächsten Begriff in der Richtlinie.
BGP-Exportrichtlinie	Sie können eine oder mehrere der folgenden Übereinstimmungsbedingungen definieren: Von: Protokoll: Geben Sie die protokolle ein, die übereinstimmen. From: Prefix ( Geben Sie die Routenpräfixe ein, die übereinstimmen sollen. Sie können nur IPv4-Adressen eingeben. Prefix-Übereinstimmung – Wählen Sie den Übereinstimmungstyp für das Präfix aus: Genau: Routen müssen genau einem der Präfixe entsprechen. Länger: Routen müssen innerhalb der angegebenen Präfixe sein und die Präfixlänge der Route muss größer als die angegebene Präfixlänge sein. oder länger: Routen müssen innerhalb der angegebenen Präfixe sein und die Präfixlänge der Route muss größer oder gleich der angegebenen Präfixlänge sein. From: Prefix Length Range (Prefix Length Range) – Geben Sie einen Bereich der Präfixlängen ein, der übereinstimmen soll. From: Neighbor –Geben Sie die IP-Adresse des LAN-BGP-Peers ein. Von: Community– Geben Sie den Namen einer oder mehrerer Communitys ein. Eine Übereinstimmung tritt auf, wenn ein Name mit dem Community-Attribut des empfangenen Präfixes übereinstimmt. Von: Tag: Geben Sie eine Zahl ein, die den Routen zugeordnet werden soll. Bereich: 0 bis 4.294.967.295 AS-Pfad: Geben Sie den vorkonfigurierten, autonomen Systeme (AS)-Pfad regulären Ausdruck ein, der abgeglichen werden muss.	Dann: AS Path Prepend – Geben Sie die AS-Nummern ein, die dem AS-Pfad einer Route vorausgezahlt werden müssen. Verwenden Sie ein Leerzeichen, um die Zahlen zu trennen. Dann: Anzahl der AS-Pfaderweiterungen – Geben Sie ein, wie oft die letzte AS-Nummer im vorhandenen AS-Pfad am Anfang des AS-Pfads angebracht werden muss. Die AS-Nummern werden hinzugefügt, bevor die lokale AS-Nummer zum Pfad hinzugefügt wird. Bereich: 1 bis 32 Dann: Community hinzufügen – Fügen Sie eine neue Community hinzu. Dann: Nexthop Self – Aktivieren Sie diese Option, um die Loopback-Adresse des CPE als nächsten Hop zu konfigurieren. Dann: Lokale Präferenz – Geben Sie einen lokalen Präferenzwert für die Route ein. Bereich: 0 bis 4.294.967.295 Dann: Aktion– Wählen Sie eine der folgenden Aktionen für die Routen aus, die die Übereinstimmungsbedingungen erfüllen: Akzeptieren – Stellen Sie die abgestimmten Routen an den LAN-Router fest. Ablehnen – Weisen Sie die übereinstimmend geschlagenen Routen ab. Nächster Begriff: Bewerten Sie den nächsten Begriff in der Richtlinie.
OSPF-Importrichtlinie	Sie können eine oder mehrere der folgenden Übereinstimmungsbedingungen definieren: From: Prefix ( Geben Sie die Routenpräfixe ein, die übereinstimmen sollen. Prefix-Übereinstimmung – Wählen Sie den Übereinstimmungstyp für das Präfix aus: Genau: Routen müssen genau einem der Präfixe entsprechen. Länger: Routen müssen innerhalb der angegebenen Präfixe sein und die Präfixlänge der Route muss größer als die angegebene Präfixlänge sein. oder länger: Routen müssen innerhalb der angegebenen Präfixe sein und die Präfixlänge der Route muss größer oder gleich der angegebenen Präfixlänge sein. Von: Tag: Geben Sie eine Zahl ein, die den Routen zugeordnet werden soll. Bereich: 0 bis 4.294.967.295	Dann: Aktion– Wählen Sie eine der folgenden Aktionen für die Routen aus, die die Übereinstimmungsbedingungen erfüllen: Akzeptieren – Akzeptieren Sie die abgestimmten Routen. Ablehnen – Weisen Sie die übereinstimmend geschlagenen Routen ab. Nächster Begriff: Bewerten Sie den nächsten Begriff in der Richtlinie.
OSPF-Exportrichtlinie	Sie können eine oder mehrere der folgenden Übereinstimmungsbedingungen definieren: Von: Protokoll: Geben Sie die protokolle ein, die übereinstimmen. From: Prefix ( Geben Sie die Routenpräfixe ein, die übereinstimmen sollen. Sie können nur IPv4-Adressen eingeben. Prefix-Übereinstimmung – Wählen Sie den Übereinstimmungstyp für das Präfix aus: Genau: Routen müssen genau einem der Präfixe entsprechen. Länger: Routen müssen innerhalb der angegebenen Präfixe sein und die Präfixlänge der Route muss größer als die angegebene Präfixlänge sein. oder länger: Routen müssen innerhalb der angegebenen Präfixe sein und die Präfixlänge der Route muss größer oder gleich der angegebenen Präfixlänge sein. From: Neighbor ( Geben Sie die IP-Adressen eines oder mehrerer OSPF-Nachbarn ein. Von: Community– Geben Sie den Namen einer oder mehrerer Communitys ein. Eine Übereinstimmung tritt auf, wenn ein Name mit dem Community-Attribut des empfangenen Präfixes übereinstimmt. AS-Pfad: Geben Sie den vorkonfigurierten, autonomen Systeme (AS)-Pfad regulären Ausdruck ein, der abgeglichen werden muss.	Dann: Tag – Geben Sie eine Zeichenfolge oder Zahl ein, die den Routen zugeordnet werden soll. Bereich: 0 bis 4.294.967.295 Dann: Aktion– Wählen Sie eine der folgenden Aktionen für die Routen aus, die die Übereinstimmungsbedingungen erfüllen: Akzeptieren – Stellen Sie die abgestimmten Routen an den LAN-Router fest. Ablehnen – Weisen Sie die übereinstimmend geschlagenen Routen ab. Nächster Begriff: Bewerten Sie den nächsten Begriff in der Richtlinie.

Hinzufügen einer Zweigstelle mit SD-WAN-Funktion

Ähnliche Dokumentation